US-CERT está advirtiendo a los administradores de que, posiblemente, el
famoso problema en la generación de números aleatorios que sufrió
OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado
(probablemente de forma automática) para instalar rootkits en servidores
Linux vulnerables.
En mayo la criptografía sufrió un grave revés. Se descubrió que el
generador de números aleatorios del paquete OpenSSL de Debian era
predecible. Las claves generadas con él en los últimos dos años ya no
eran fiables o verdaderamente seguras. A efectos prácticos, se podría
deducir la clave privada a partir de la pública de los usuarios, con lo
que la criptografía asimétrica dejaba de ser fiable para la
autenticación y para la confidencialidad. Pronto se generó todo el
espacio posible de claves vulnerables (públicas y privadas) y se
desarrollaron exploits específicos para poder acceder a sistemas SSH
protegidos con criptografía pública.
Los administradores que controlan sus sistemas a través de SSH se suelen
autenticar a través de su clave privada (el servidor de SSH almacena la
pública correspondiente). Esta es una alternativa a la autenticación a
través de la clásica contraseña simétrica. Si la pareja de claves ha
sido generada con el OpenSSL vulnerable, se puede hacer un ataque de
fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos
20 minutos con un ordenador de hoy día. Los que hayan protegido el uso
de las claves con contraseña, están en principio a salvo.
Aunque el US-CERT no habla de este problema en concreto, probablemente
es el que está siendo aprovechado para llevar a cabo estos ataques
durante estos días. Los atacantes están intentando acceder a servidores
con SSH activo, protegido por criptografía pública y claves privadas
vulnerables. Con esto consiguen acceso de forma fácil al sistema. Si el
kernel no está actualizado, utilizan algún exploit para conseguir acceso
local como root (existen decenas) y una vez dentro, instalan el rootkit
Phalanx2 que les permite (entre otras cosas) obtener otras claves SSH
para acceder a otros sistemas.
En el apartado de más información se ofrece información sobre cómo
detectar el rootkit.
Como advertíamos en mayo, el problema criptográfico del paquete OpenSSL
de Debian traerá de cabeza a los administradores durante mucho tiempo.
Fueron casi dos años de generación de claves vulnerables en cientos de
miles de máquinas, y pasará mucho tiempo hasta que todos los
administradores parcheen sus sistemas y sobre todo, vuelvan a generar
sus claves públicas y privadas con un sistema actualizado.
Noticia ofrecida por Hispasec
jueves, 28 de agosto de 2008
El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario